SlideShare una empresa de Scribd logo

Conocer y categorizar las vulnerabilidades de un entorno industrial publicado en nov2014

D
Diego Martín Arcos

Este documento describe las diferentes categorías de vulnerabilidades que pueden afectar a un entorno industrial, incluyendo vulnerabilidades de gestión, operacionales, funcionales y técnicas. Explica las relaciones entre amenazas y vulnerabilidades, y cómo la combinación de probabilidad y gravedad de un daño crea un riesgo. También identifica vulnerabilidades comunes como sistemas sin actualizar, técnicas de programación inseguras, y el uso de protocolos como OPC que no son seguros.

Tecnología
1 de 4
Descargar para leer sin conexión
70 Automática e Instrumentación Noviembre 2014 / n.º 467 Soluciones  CIBERSEGURIDAD Ciberseguridad Conocer y categorizar las vulnerabilidades de un entorno industrial P roteger un entorno en la automatización industrial y control de procesos es un reto que no solo deben resolver las comunicaciones y datos tradi- cionales de un entorno IT, ya que en el entorno de la automatización entran en juego procesos en tiem- po real con un impacto mayor en el entorno. Este impacto incluye costes de producción por paradas no programadas y las consecuencias que ello supone. Años atrás, la red industrial y la red IT estaban técnicamente aisla- das. Con la integración de ambas redes se han conseguido muchas mejoras, pero a su vez el riesgo ha incrementado exponencialmen- te debido a que se han quedado expuestas a los mismos riesgos y amenazas sin tener las mismas seguridades. Un error típico es pensar que una red aislada es una red segura. No importa cuántas zonas de seguridad se creen ni cuantos firewalls peri- metrales se instalen; siempre habrá un acceso, tanto de entrada como de salida, que puede facilitar un ataque. La disposición para aceptar las amenazas como una constante en todas las actividades ayudará a entender el riesgo y, por tanto, a mitigarlo. La amenaza más común a un en- torno de control es la producida por un daño colateral desde un sistema vulnerable con visibilidad a la red industrial. Los dispositivos de cam- po, debido a su difícil acceso desde el exterior, pueden ser atacados de forma indirecta a través de sistemas comprometidos dentro de una red interconectada, los cuales tienen sistemas operativos y aplicaciones vulnerables. Hay mucho que aprender de la seguridad IT, entre otras cosas porque su recorrido es mucho más extenso. La gestión y evaluación de riesgos y amenazas también está mucho más desarrollada; sin em- bargo, esta evaluación no siempre se puede aplicar a nuestro entorno debido al impacto que ello puede suponer sobre el mismo. ¿Cuál es la relación entre amenazas y vulnerabilidades? Las amenazas pueden ser ocasio- nadas por el propio sistema o por la interacción humana. Muchas organizaciones tienen un conoci- miento limitado sobre el origen y objeto de una amenaza, ya que la percepción tradicional suele estar ligada a una incidencia mecánica y no a la lógica del proceso. Una vulnerabilidad es un fallo en el proceso o en el sistema del cual se aprovecha una amenaza con objeto de comprometerlo. Cuanto más vulnerable sea un sistema, mayor será el riesgo al que nos enfrentamos. Conocer los procesos o disciplinas necesarias que permitan identificar las acciones intencionadas que pueden desencadenar un fallo en la seguridad de un entorno es un primer paso para diseñar una infraestructura más segura y robusta, que ayude a asegurar la disponibilidad de los sistemas críticos.
71 Noviembre 2014 / n.º 467 Automática e Instrumentación SolucionesCIBERSEGURIDAD  Las vulnerabilidades o amenazas, por separado, no representan un pe- ligro, pero si se juntan entra en juego el factor riesgo: la combinación de la probabilidad de que ocurra un daño y la gravedad de este daño. A continuación se identifican los procesos o disciplinas nece- sarias que permitirán identificar las acciones intencionadas que puedan desencadenar un fallo en la seguridad de un entorno. Cono- cer estos fallos es un primer paso para diseñar una infraestructura más segura y robusta, que ayude a asegurar la disponibilidad de los sistemas críticos. ¿Cómo categorizar, entender y gestionar las vulnerabilidades? Desde el punto de vista de la gestión de riesgo, es posible dividir las vul- nerabilidades en 4 tipos: • Vulnerabilidades de gestión. • Vulnerabilidades de operación. • Vulnerabilidades funcionales. • Vulnerabilidades técnicas. Vulnerabilidades de gestión • Gestión del riesgo: La gestión del riesgo es una práctica que debe documentar los riesgos críticos del negocio para poder diseñar una estrategia de seguridad adecuada. No sirve de nada tener las contrame- didas más avanzadas y robustas del mercado si estas no están alineadas con los riesgos del negocio. •Presupuestosadhoc:Laseguridad se debe enfocar como un programa a seguir de forma continua y no como un ejercicio puntual, ya que hay que estar continuamente adaptándose al ritmo al cual avanza. Una solución de seguridad que no se adapte a las amenazas existentes no cumplirá con los objetivos para la cual ha sido diseñada. • Formación: Debido a que cada día aparecen nuevas vulnerabilida- des, un aspecto crítico a tener en cuenta es la formación del personal que gestiona cualquier ámbito de la seguridad. Vulnerabilidades operacionales • Separar el tráfico de red: Mu- chas organizaciones tienen la red industrial como una extensión de la red IT debido a la necesidad de acceder a los datos en cualquier momento. Es recomendable separar el tráfico de ambas redes dedicando las electrónicas de red para cada entorno. • Gestión de cuentas: En redes industriales, con frecuencia la efi- ciencia administrativa implica una carencia en prácticas de seguridad. Por ejemplo, compartir la cuenta de administrador o tener contraseñas comunes a varios usuarios suele ser una práctica común. En caso de un accidente, un análisis forense se convierte en una tarea difícil, ya que no hay una trazabilidad legible. • Procedimientos de acceso remo- to: Controlar el acceso, las cuentas de usuario utilizadas, las direccio- nes IP que pueden acceder, los permisos, auditar la seguridad del proveedor que se conecta y restrin- gir el acceso por zonas entre otros es una tarea obligatoria. • Despliegue de sistemas wireless: El acceso a estas redes es mucho más fácil que a una red física. Son mucho más fáciles de detectar y suelen tener una arquitectura de seguridad menos robusta. • Procedimiento de detección de incidentes: En la gran mayoría de casos no existe un procedimiento específico para detectar amenazas. Aunque un sistema comprometido es difícil de diagnosticar, es posible basarse en otro tipo de indicadores que muestren un funcionamiento anómalo del sistema, como puede ser el uso excesivo de recursos del sistema o picos en el uso de red. • Gestión del cambio: Una gestión del cambio inexistente o no rigurosa representa un alto riesgo. Una ges- tión del cambio pobre en el entorno IT es otra vulnerabilidad para una red industrial. Por ejemplo: una modificación en la configuración de un switch u otra electrónica que se comparta con la red industrial o un switch dedicado para nuestra red gestionado por IT debido a su fragilidad. Vulnerabilidades funcionales Los dispositivos de campo suelen es- tar formados por dos interfaces, una conectada a la red IP desde la cual le llegan órdenes de un servidor scada, y la interface de E/S, la cual controla las funciones físicas de producción. Si un atacante puede alcanzar de formalógicaundispositivodecampo, es posible diferenciar 6 clases de impactos funcionales: • Denegación de visión y pérdida de visión: Resultado de un fallo temporal o permanente de las co- municaciones en la tarjeta IP. La afectación funcional es la pérdida de la información en el proceso de producción. • Manipulación de visión: Modifi- cación de los datos que el operador visualiza para provocar una acción inapropiada. En este caso no hay impacto en la funcionalidad de la interfaz IP o la de IO. • Denegación de control y pérdida
72 Automática e Instrumentación Noviembre 2014 / n.º 467 Soluciones  CIBERSEGURIDAD de control: Denegación temporal o permanente del control sobre la interfaz de E/S. • Manipulación de control: In- tercepta las funciones que envía el operadoraldispositivoparamodificar el código causando reacciones que afecten al proceso de producción. Vulnerabilidades técnicas Hay una lista muy extensa de vul- nerabilidades relacionadas con soft- ware, hardware o la red y, debido a la gran cantidad de fallos que se publican cada día, esta lista sería incompleta. Hay varias páginas con todaslasvulnerabilidadespublicadas, como por ejemplo www.cvdetails. com o www.mitre.org. Vulnerabilidades comunes Las vulnerabilidades más comunes en un entorno industrial son: • Sistemas sin actualizar: Debido al ciclo de vida de los sistemas de control, muchos sistemas ejecutan firmwares y sistemas operativos sin actualizar, los cuales tienen vulnera- bilidadespublicadas.Lagranmayoría de sistemas de control utilizan los mismos sistemas operativos que un departamento IT con las misma vulnerabilidades, pero sin el mismo nivel de parcheado. Normalmente, el proceso de actualización es un proceso manual que suele llevar un tiempo a ser aplicado. • Técnicas de programación inse- guras: Debido a los requerimientos de complejidad inherentes a un entorno de control, muchas implan- taciones están desarrolladas con có- digo inseguro. Por otro lado, muchas aplicaciones han sido desarrolladas por personal sin nociones sobre seguridad, lo que puede llevar a un sistema a sufrir ataques derivados de esta vulnerabilidad. • Dispositivos IT en redes indus- triales: Dispositivos como portátiles y servidores son un elemento común en las redes industriales. Estos ele- mentos tienen sistemas operativos con vulnerabilidades conocidas, los cuales pueden causar daños colate- rales en la red industrial. • Defectos en la red: Las redes ac- tuales, en especial las de los sistemas de control, tienen funcionalidades que han sido desplegadas sin un análisis de seguridad suficiente y puedenofreceraccesoalosatacantes una vez descubiertos. • Protocolo OPC: El protocolo OPC es un protocolo inseguro. Está basado en la tecnología DCOM de Microsoft, cuya seguridad se ha visto comprometida hasta el punto de que ya no se utiliza en entornos IT. Si bien es cierto que el protocolo OPC UA soluciona las carencias de seguridad del protocolo OPC, en el 90% de las instalaciones todavía se utiliza OPC. • Ataques a bases de datos: Los servidores de bases de datos se han convertidoenlasaplicacionescentra- les de un sistema de control debido a la información que almacenan. Estos deben seguir las prácticas de seguridad adecuadas. • Capacidad de memoria y proce- samiento limitada: Los dispositivos de campo están diseñados con una capacidad de procesamiento y me- moria limitada al fin para el cual han sido diseñados. Este diseño tiene como ventajas un diseño robusto que soporta un ciclo de vida más largo y un coste de implantación y
73 Noviembre 2014 / n.º 467 Automática e Instrumentación SolucionesCIBERSEGURIDAD  mantenimiento mucho menor. Ade- más, al tener opciones limitadas, la probabilidaddeunerrordeseguridad por parte del operador también es limitada. Por otro lado, el coste de dicha simplicidad conlleva que estos dispositivos –en la gran mayoría de casos– no se puedan actualizar o parchear. Su software y hardware no soportan la instalación de mejoras de seguridad. • Procedimientos de ciberseguri- dad: Con la integración de las redes y el aumento de la complejidad de las operaciones, el personal que tiene acceso a la red también ha aumentado. Se deben desarrollar y mantener alineados con el negocio unos procedimientos de cibersegu- ridad robustos. • Tecnologías de seguridad IT en entornos industriales: Las solucio- nes de seguridad IT se caracterizan por añadir una capa adicional de software a los dispositivos u otro dispositivo a la red, por ejemplo, un firewall o un sistema de detección de intrusiones. Este tipo de solucio- nes no son fácilmente aplicables, ya que acostumbran a añadir estrés al proceso y, por lo tanto, afectan al funcionamiento, ya sea por la latencia que dichos dispositivos ge- neran o porque añadir dispositivos intermedios puede ser un motivo de peso para que el proveedor deje de proporcionarnos soporte. A modo de conclusión Los incidentes en ciberseguridad se producen constantemente. Cuando analizamos una incidencia ocasiona- da en un cliente, en muchos casos vemos que se trata de un error tecno- lógico, ya sea un bug en el proceso o un error malintencionado producido por cualquier tipo de malware. Un entorno que no conoce sus vulne- rabilidades es un entorno que no se ha sometido a un diagnóstico en profundidad. Diego Martín Arcos IT Manager en Sistel Control www.sistelcontrol.es Bibliografía • Auerbach Publications (2011). Cybersecurity for industrial control systems. • Process control and SCADA security. [En línea] www.cpni.gov. uk/Documents/Publications/2008/2008031-GPG_SCADA_Securi- ty_Good_Practice.pdf

Recomendados

IBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence OverviewIBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence OverviewCamilo Fandiño Gómez
 
Software Security Engineering
Software Security EngineeringSoftware Security Engineering
Software Security EngineeringMarco Morana
 
It security controls, plans, and procedures
It security controls, plans, and proceduresIt security controls, plans, and procedures
It security controls, plans, and proceduresCAS
 
Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Ben Rothke
 
Enterprise Vulnerability Management: Back to Basics
Enterprise Vulnerability Management: Back to BasicsEnterprise Vulnerability Management: Back to Basics
Enterprise Vulnerability Management: Back to BasicsDamon Small
 
SIEM presentation final
SIEM presentation finalSIEM presentation final
SIEM presentation finalRizwan S
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak
 
Board and Cyber Security
Board and Cyber SecurityBoard and Cyber Security
Board and Cyber SecurityLeon Fouche
 

Recomendados

IBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence OverviewIBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence OverviewCamilo Fandiño Gómez
 
Software Security Engineering
Software Security EngineeringSoftware Security Engineering
Software Security EngineeringMarco Morana
 
It security controls, plans, and procedures
It security controls, plans, and proceduresIt security controls, plans, and procedures
It security controls, plans, and proceduresCAS
 
Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Ben Rothke
 
Enterprise Vulnerability Management: Back to Basics
Enterprise Vulnerability Management: Back to BasicsEnterprise Vulnerability Management: Back to Basics
Enterprise Vulnerability Management: Back to BasicsDamon Small
 
SIEM presentation final
SIEM presentation finalSIEM presentation final
SIEM presentation finalRizwan S
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak
 
Board and Cyber Security
Board and Cyber SecurityBoard and Cyber Security
Board and Cyber SecurityLeon Fouche
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsYulian Slobodyan
 
RMF Roles and Responsibilities (Part 1)
RMF Roles and Responsibilities (Part 1) RMF Roles and Responsibilities (Part 1)
RMF Roles and Responsibilities (Part 1) Donald E. Hester
 
Cybersecurity Basics.pptx
Cybersecurity Basics.pptxCybersecurity Basics.pptx
Cybersecurity Basics.pptxLineshiDharamraj1
 
CyberArk
CyberArkCyberArk
CyberArkJimmy Sze
 
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond Alerting
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond AlertingProactive Threat Hunting: Game-Changing Endpoint Protection Beyond Alerting
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond AlertingCrowdStrike
 
Information Assurance And Security - Chapter 2 - Lesson 3
Information Assurance And Security - Chapter 2 - Lesson 3Information Assurance And Security - Chapter 2 - Lesson 3
Information Assurance And Security - Chapter 2 - Lesson 3MLG College of Learning, Inc
 
Cybersecurity in the Boardroom
Cybersecurity in the BoardroomCybersecurity in the Boardroom
Cybersecurity in the BoardroomMarko Suswanto
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
IBM Security QRadar
IBM Security QRadar IBM Security QRadar
IBM Security QRadarVirginia Fernandez
 
SOC for Cybersecurity Overview
SOC for Cybersecurity OverviewSOC for Cybersecurity Overview
SOC for Cybersecurity OverviewBrian Matteson, CISSP CISA
 
Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Ben Rothke
 
How to Audit Firewall, what are the standard Practices for Firewall Audit
How to Audit Firewall, what are the standard Practices for Firewall AuditHow to Audit Firewall, what are the standard Practices for Firewall Audit
How to Audit Firewall, what are the standard Practices for Firewall Auditkeyuradmin
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesKrist Davood - Principal - CIO
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaFahmi Albaheth
 
Security architecture - Perform a gap analysis
Security architecture - Perform a gap analysisSecurity architecture - Perform a gap analysis
Security architecture - Perform a gap analysisCarlo Dapino
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
 
Irm Risk Appetite
Irm Risk AppetiteIrm Risk Appetite
Irm Risk AppetiteHassan Zaitoun
 
Data Loss Threats and Mitigations
Data Loss Threats and MitigationsData Loss Threats and Mitigations
Data Loss Threats and MitigationsApril Mardock CISSP
 
Guide to Risk Management Framework (RMF)
Guide to Risk Management Framework (RMF)Guide to Risk Management Framework (RMF)
Guide to Risk Management Framework (RMF)MetroStar
 
Siem ppt
Siem pptSiem ppt
Siem pptkmehul
 
La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 Diego Martín Arcos
 
Sistel Control profile [FR]
Sistel Control profile [FR]Sistel Control profile [FR]
Sistel Control profile [FR]Sistel CONTROL
 

Más contenido relacionado

La actualidad más candente

Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsYulian Slobodyan
 
RMF Roles and Responsibilities (Part 1)
RMF Roles and Responsibilities (Part 1) RMF Roles and Responsibilities (Part 1)
RMF Roles and Responsibilities (Part 1) Donald E. Hester
 
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond Alerting
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond AlertingProactive Threat Hunting: Game-Changing Endpoint Protection Beyond Alerting
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond AlertingCrowdStrike
 
Information Assurance And Security - Chapter 2 - Lesson 3
Information Assurance And Security - Chapter 2 - Lesson 3Information Assurance And Security - Chapter 2 - Lesson 3
Information Assurance And Security - Chapter 2 - Lesson 3MLG College of Learning, Inc
 
Cybersecurity in the Boardroom
Cybersecurity in the BoardroomCybersecurity in the Boardroom
Cybersecurity in the BoardroomMarko Suswanto
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Ben Rothke
 
How to Audit Firewall, what are the standard Practices for Firewall Audit
How to Audit Firewall, what are the standard Practices for Firewall AuditHow to Audit Firewall, what are the standard Practices for Firewall Audit
How to Audit Firewall, what are the standard Practices for Firewall Auditkeyuradmin
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaFahmi Albaheth
 
Security architecture - Perform a gap analysis
Security architecture - Perform a gap analysisSecurity architecture - Perform a gap analysis
Security architecture - Perform a gap analysisCarlo Dapino
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
 
Data Loss Threats and Mitigations
Data Loss Threats and MitigationsData Loss Threats and Mitigations
Data Loss Threats and MitigationsApril Mardock CISSP
 
Guide to Risk Management Framework (RMF)
Guide to Risk Management Framework (RMF)Guide to Risk Management Framework (RMF)
Guide to Risk Management Framework (RMF)MetroStar
 
Siem ppt
Siem pptSiem ppt
Siem pptkmehul
 

La actualidad más candente (20)

Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and Tools
 
RMF Roles and Responsibilities (Part 1)
RMF Roles and Responsibilities (Part 1) RMF Roles and Responsibilities (Part 1)
RMF Roles and Responsibilities (Part 1)
 
Cybersecurity Basics.pptx
Cybersecurity Basics.pptxCybersecurity Basics.pptx
Cybersecurity Basics.pptx
 
CyberArk
CyberArkCyberArk
CyberArk
 
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond Alerting
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond AlertingProactive Threat Hunting: Game-Changing Endpoint Protection Beyond Alerting
Proactive Threat Hunting: Game-Changing Endpoint Protection Beyond Alerting
 
Information Assurance And Security - Chapter 2 - Lesson 3
Information Assurance And Security - Chapter 2 - Lesson 3Information Assurance And Security - Chapter 2 - Lesson 3
Information Assurance And Security - Chapter 2 - Lesson 3
 
Cybersecurity in the Boardroom
Cybersecurity in the BoardroomCybersecurity in the Boardroom
Cybersecurity in the Boardroom
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
IBM Security QRadar
IBM Security QRadar IBM Security QRadar
IBM Security QRadar
 
SOC for Cybersecurity Overview
SOC for Cybersecurity OverviewSOC for Cybersecurity Overview
SOC for Cybersecurity Overview
 
Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)Rothke rsa 2012 building a security operations center (soc)
Rothke rsa 2012 building a security operations center (soc)
 
How to Audit Firewall, what are the standard Practices for Firewall Audit
How to Audit Firewall, what are the standard Practices for Firewall AuditHow to Audit Firewall, what are the standard Practices for Firewall Audit
How to Audit Firewall, what are the standard Practices for Firewall Audit
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
 
Security architecture - Perform a gap analysis
Security architecture - Perform a gap analysisSecurity architecture - Perform a gap analysis
Security architecture - Perform a gap analysis
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber Security
 
Irm Risk Appetite
Irm Risk AppetiteIrm Risk Appetite
Irm Risk Appetite
 
Data Loss Threats and Mitigations
Data Loss Threats and MitigationsData Loss Threats and Mitigations
Data Loss Threats and Mitigations
 
Guide to Risk Management Framework (RMF)
Guide to Risk Management Framework (RMF)Guide to Risk Management Framework (RMF)
Guide to Risk Management Framework (RMF)
 
Siem ppt
Siem pptSiem ppt
Siem ppt
 

Destacado

La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 Diego Martín Arcos
 
Sistel Control profile [FR]
Sistel Control profile [FR]Sistel Control profile [FR]
Sistel Control profile [FR]Sistel CONTROL
 
Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel CONTROL
 
Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Diego Martín Arcos
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Sistel CONTROL
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel CONTROL
 
32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your Business32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your BusinessBarry Feldman
 

Destacado (8)

La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013
 
Sistel Control profile [FR]
Sistel Control profile [FR]Sistel Control profile [FR]
Sistel Control profile [FR]
 
Sistel Control Profile [EN]
Sistel Control Profile [EN]Sistel Control Profile [EN]
Sistel Control Profile [EN]
 
Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012Impacto del cloud computing en los entornos de control publicado en 2012
Impacto del cloud computing en los entornos de control publicado en 2012
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]Impacto del cloud computing en los entornos de control [ES]
Impacto del cloud computing en los entornos de control [ES]
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]
 
32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your Business32 Ways a Digital Marketing Consultant Can Help Grow Your Business
32 Ways a Digital Marketing Consultant Can Help Grow Your Business
 

Similar a Conocer y categorizar las vulnerabilidades de un entorno industrial publicado en nov2014

Seguridad de la informatica
Seguridad de la informaticaSeguridad de la informatica
Seguridad de la informaticakatyi cauich
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadSantiago Tulmo
 
Seg. info tp. 3
Seg. info tp. 3Seg. info tp. 3
Seg. info tp. 3Naancee
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaPiPe DiAz
 
Unidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridadUnidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridadCarlos Martinez
 
TUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICATUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICAkaren iles
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESAMiguel Cabrera
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticososcar andres
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridadMBouvier2
 
Seguridad en informática
Seguridad en informáticaSeguridad en informática
Seguridad en informáticakatyi cauich
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticani13
 

Similar a Conocer y categorizar las vulnerabilidades de un entorno industrial publicado en nov2014 (20)

Sistemas Distribuidos Ogggc
Sistemas Distribuidos OgggcSistemas Distribuidos Ogggc
Sistemas Distribuidos Ogggc
 
Seguridad de la informatica
Seguridad de la informaticaSeguridad de la informatica
Seguridad de la informatica
 
eligesabiamente.pdf
eligesabiamente.pdfeligesabiamente.pdf
eligesabiamente.pdf
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
seguridad
seguridadseguridad
seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seg. info tp. 3
Seg. info tp. 3Seg. info tp. 3
Seg. info tp. 3
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Unidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridadUnidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridad
 
TUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICATUTORIAL DE SEGURIDAD INFORMATICA
TUTORIAL DE SEGURIDAD INFORMATICA
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESA
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
Ciberseguridad Industrial
Ciberseguridad IndustrialCiberseguridad Industrial
Ciberseguridad Industrial
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
Seguridad en informática
Seguridad en informáticaSeguridad en informática
Seguridad en informática
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 

Último

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Último (20)

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

Conocer y categorizar las vulnerabilidades de un entorno industrial publicado en nov2014

  • 1. 70 Automática e Instrumentación Noviembre 2014 / n.º 467 Soluciones  CIBERSEGURIDAD Ciberseguridad Conocer y categorizar las vulnerabilidades de un entorno industrial P roteger un entorno en la automatización industrial y control de procesos es un reto que no solo deben resolver las comunicaciones y datos tradi- cionales de un entorno IT, ya que en el entorno de la automatización entran en juego procesos en tiem- po real con un impacto mayor en el entorno. Este impacto incluye costes de producción por paradas no programadas y las consecuencias que ello supone. Años atrás, la red industrial y la red IT estaban técnicamente aisla- das. Con la integración de ambas redes se han conseguido muchas mejoras, pero a su vez el riesgo ha incrementado exponencialmen- te debido a que se han quedado expuestas a los mismos riesgos y amenazas sin tener las mismas seguridades. Un error típico es pensar que una red aislada es una red segura. No importa cuántas zonas de seguridad se creen ni cuantos firewalls peri- metrales se instalen; siempre habrá un acceso, tanto de entrada como de salida, que puede facilitar un ataque. La disposición para aceptar las amenazas como una constante en todas las actividades ayudará a entender el riesgo y, por tanto, a mitigarlo. La amenaza más común a un en- torno de control es la producida por un daño colateral desde un sistema vulnerable con visibilidad a la red industrial. Los dispositivos de cam- po, debido a su difícil acceso desde el exterior, pueden ser atacados de forma indirecta a través de sistemas comprometidos dentro de una red interconectada, los cuales tienen sistemas operativos y aplicaciones vulnerables. Hay mucho que aprender de la seguridad IT, entre otras cosas porque su recorrido es mucho más extenso. La gestión y evaluación de riesgos y amenazas también está mucho más desarrollada; sin em- bargo, esta evaluación no siempre se puede aplicar a nuestro entorno debido al impacto que ello puede suponer sobre el mismo. ¿Cuál es la relación entre amenazas y vulnerabilidades? Las amenazas pueden ser ocasio- nadas por el propio sistema o por la interacción humana. Muchas organizaciones tienen un conoci- miento limitado sobre el origen y objeto de una amenaza, ya que la percepción tradicional suele estar ligada a una incidencia mecánica y no a la lógica del proceso. Una vulnerabilidad es un fallo en el proceso o en el sistema del cual se aprovecha una amenaza con objeto de comprometerlo. Cuanto más vulnerable sea un sistema, mayor será el riesgo al que nos enfrentamos. Conocer los procesos o disciplinas necesarias que permitan identificar las acciones intencionadas que pueden desencadenar un fallo en la seguridad de un entorno es un primer paso para diseñar una infraestructura más segura y robusta, que ayude a asegurar la disponibilidad de los sistemas críticos.
  • 2. 71 Noviembre 2014 / n.º 467 Automática e Instrumentación SolucionesCIBERSEGURIDAD  Las vulnerabilidades o amenazas, por separado, no representan un pe- ligro, pero si se juntan entra en juego el factor riesgo: la combinación de la probabilidad de que ocurra un daño y la gravedad de este daño. A continuación se identifican los procesos o disciplinas nece- sarias que permitirán identificar las acciones intencionadas que puedan desencadenar un fallo en la seguridad de un entorno. Cono- cer estos fallos es un primer paso para diseñar una infraestructura más segura y robusta, que ayude a asegurar la disponibilidad de los sistemas críticos. ¿Cómo categorizar, entender y gestionar las vulnerabilidades? Desde el punto de vista de la gestión de riesgo, es posible dividir las vul- nerabilidades en 4 tipos: • Vulnerabilidades de gestión. • Vulnerabilidades de operación. • Vulnerabilidades funcionales. • Vulnerabilidades técnicas. Vulnerabilidades de gestión • Gestión del riesgo: La gestión del riesgo es una práctica que debe documentar los riesgos críticos del negocio para poder diseñar una estrategia de seguridad adecuada. No sirve de nada tener las contrame- didas más avanzadas y robustas del mercado si estas no están alineadas con los riesgos del negocio. •Presupuestosadhoc:Laseguridad se debe enfocar como un programa a seguir de forma continua y no como un ejercicio puntual, ya que hay que estar continuamente adaptándose al ritmo al cual avanza. Una solución de seguridad que no se adapte a las amenazas existentes no cumplirá con los objetivos para la cual ha sido diseñada. • Formación: Debido a que cada día aparecen nuevas vulnerabilida- des, un aspecto crítico a tener en cuenta es la formación del personal que gestiona cualquier ámbito de la seguridad. Vulnerabilidades operacionales • Separar el tráfico de red: Mu- chas organizaciones tienen la red industrial como una extensión de la red IT debido a la necesidad de acceder a los datos en cualquier momento. Es recomendable separar el tráfico de ambas redes dedicando las electrónicas de red para cada entorno. • Gestión de cuentas: En redes industriales, con frecuencia la efi- ciencia administrativa implica una carencia en prácticas de seguridad. Por ejemplo, compartir la cuenta de administrador o tener contraseñas comunes a varios usuarios suele ser una práctica común. En caso de un accidente, un análisis forense se convierte en una tarea difícil, ya que no hay una trazabilidad legible. • Procedimientos de acceso remo- to: Controlar el acceso, las cuentas de usuario utilizadas, las direccio- nes IP que pueden acceder, los permisos, auditar la seguridad del proveedor que se conecta y restrin- gir el acceso por zonas entre otros es una tarea obligatoria. • Despliegue de sistemas wireless: El acceso a estas redes es mucho más fácil que a una red física. Son mucho más fáciles de detectar y suelen tener una arquitectura de seguridad menos robusta. • Procedimiento de detección de incidentes: En la gran mayoría de casos no existe un procedimiento específico para detectar amenazas. Aunque un sistema comprometido es difícil de diagnosticar, es posible basarse en otro tipo de indicadores que muestren un funcionamiento anómalo del sistema, como puede ser el uso excesivo de recursos del sistema o picos en el uso de red. • Gestión del cambio: Una gestión del cambio inexistente o no rigurosa representa un alto riesgo. Una ges- tión del cambio pobre en el entorno IT es otra vulnerabilidad para una red industrial. Por ejemplo: una modificación en la configuración de un switch u otra electrónica que se comparta con la red industrial o un switch dedicado para nuestra red gestionado por IT debido a su fragilidad. Vulnerabilidades funcionales Los dispositivos de campo suelen es- tar formados por dos interfaces, una conectada a la red IP desde la cual le llegan órdenes de un servidor scada, y la interface de E/S, la cual controla las funciones físicas de producción. Si un atacante puede alcanzar de formalógicaundispositivodecampo, es posible diferenciar 6 clases de impactos funcionales: • Denegación de visión y pérdida de visión: Resultado de un fallo temporal o permanente de las co- municaciones en la tarjeta IP. La afectación funcional es la pérdida de la información en el proceso de producción. • Manipulación de visión: Modifi- cación de los datos que el operador visualiza para provocar una acción inapropiada. En este caso no hay impacto en la funcionalidad de la interfaz IP o la de IO. • Denegación de control y pérdida
  • 3. 72 Automática e Instrumentación Noviembre 2014 / n.º 467 Soluciones  CIBERSEGURIDAD de control: Denegación temporal o permanente del control sobre la interfaz de E/S. • Manipulación de control: In- tercepta las funciones que envía el operadoraldispositivoparamodificar el código causando reacciones que afecten al proceso de producción. Vulnerabilidades técnicas Hay una lista muy extensa de vul- nerabilidades relacionadas con soft- ware, hardware o la red y, debido a la gran cantidad de fallos que se publican cada día, esta lista sería incompleta. Hay varias páginas con todaslasvulnerabilidadespublicadas, como por ejemplo www.cvdetails. com o www.mitre.org. Vulnerabilidades comunes Las vulnerabilidades más comunes en un entorno industrial son: • Sistemas sin actualizar: Debido al ciclo de vida de los sistemas de control, muchos sistemas ejecutan firmwares y sistemas operativos sin actualizar, los cuales tienen vulnera- bilidadespublicadas.Lagranmayoría de sistemas de control utilizan los mismos sistemas operativos que un departamento IT con las misma vulnerabilidades, pero sin el mismo nivel de parcheado. Normalmente, el proceso de actualización es un proceso manual que suele llevar un tiempo a ser aplicado. • Técnicas de programación inse- guras: Debido a los requerimientos de complejidad inherentes a un entorno de control, muchas implan- taciones están desarrolladas con có- digo inseguro. Por otro lado, muchas aplicaciones han sido desarrolladas por personal sin nociones sobre seguridad, lo que puede llevar a un sistema a sufrir ataques derivados de esta vulnerabilidad. • Dispositivos IT en redes indus- triales: Dispositivos como portátiles y servidores son un elemento común en las redes industriales. Estos ele- mentos tienen sistemas operativos con vulnerabilidades conocidas, los cuales pueden causar daños colate- rales en la red industrial. • Defectos en la red: Las redes ac- tuales, en especial las de los sistemas de control, tienen funcionalidades que han sido desplegadas sin un análisis de seguridad suficiente y puedenofreceraccesoalosatacantes una vez descubiertos. • Protocolo OPC: El protocolo OPC es un protocolo inseguro. Está basado en la tecnología DCOM de Microsoft, cuya seguridad se ha visto comprometida hasta el punto de que ya no se utiliza en entornos IT. Si bien es cierto que el protocolo OPC UA soluciona las carencias de seguridad del protocolo OPC, en el 90% de las instalaciones todavía se utiliza OPC. • Ataques a bases de datos: Los servidores de bases de datos se han convertidoenlasaplicacionescentra- les de un sistema de control debido a la información que almacenan. Estos deben seguir las prácticas de seguridad adecuadas. • Capacidad de memoria y proce- samiento limitada: Los dispositivos de campo están diseñados con una capacidad de procesamiento y me- moria limitada al fin para el cual han sido diseñados. Este diseño tiene como ventajas un diseño robusto que soporta un ciclo de vida más largo y un coste de implantación y
  • 4. 73 Noviembre 2014 / n.º 467 Automática e Instrumentación SolucionesCIBERSEGURIDAD  mantenimiento mucho menor. Ade- más, al tener opciones limitadas, la probabilidaddeunerrordeseguridad por parte del operador también es limitada. Por otro lado, el coste de dicha simplicidad conlleva que estos dispositivos –en la gran mayoría de casos– no se puedan actualizar o parchear. Su software y hardware no soportan la instalación de mejoras de seguridad. • Procedimientos de ciberseguri- dad: Con la integración de las redes y el aumento de la complejidad de las operaciones, el personal que tiene acceso a la red también ha aumentado. Se deben desarrollar y mantener alineados con el negocio unos procedimientos de cibersegu- ridad robustos. • Tecnologías de seguridad IT en entornos industriales: Las solucio- nes de seguridad IT se caracterizan por añadir una capa adicional de software a los dispositivos u otro dispositivo a la red, por ejemplo, un firewall o un sistema de detección de intrusiones. Este tipo de solucio- nes no son fácilmente aplicables, ya que acostumbran a añadir estrés al proceso y, por lo tanto, afectan al funcionamiento, ya sea por la latencia que dichos dispositivos ge- neran o porque añadir dispositivos intermedios puede ser un motivo de peso para que el proveedor deje de proporcionarnos soporte. A modo de conclusión Los incidentes en ciberseguridad se producen constantemente. Cuando analizamos una incidencia ocasiona- da en un cliente, en muchos casos vemos que se trata de un error tecno- lógico, ya sea un bug en el proceso o un error malintencionado producido por cualquier tipo de malware. Un entorno que no conoce sus vulne- rabilidades es un entorno que no se ha sometido a un diagnóstico en profundidad. Diego Martín Arcos IT Manager en Sistel Control www.sistelcontrol.es Bibliografía • Auerbach Publications (2011). Cybersecurity for industrial control systems. • Process control and SCADA security. [En línea] www.cpni.gov. uk/Documents/Publications/2008/2008031-GPG_SCADA_Securi- ty_Good_Practice.pdf